Проблемы в настройке LDAP-аддона для Active Directory

Вопросы и проблемы
#1

Доброго дня.
Никак не получается настроить работу аддона с ActiveDirectory в многодоменной среде. Использую учетные данные для доступа к серверу, такие же как в cuba-приложении с аддоном ldap, поэтому тут вроде бы проблемы быть не должно.

jmix.ldap.urls=ldap://domain.com:389
jmix.ldap.base-dn=dc=domain,dc=com
jmix.ldap.manager-dn=sAMAccountName=manager_username,dc=domain,dc=com #тут интересно то, что синтаксис этого свойства требуется разный для 2х случаев ниже
jmix.ldap.manager-password=pass
jmix.ldap.user-search-filter=(&(objectClass=user)(userPrincipalName={0}))
jmix.ldap.managerReferral=follow
jmix.ldap.default-roles=ui-minimal
jmix.ldap.synchronize-role-assignments=false

Попробовал различные конфигурации:

  1. jmix.ldap.use-active-directory-configuration = false
    Результат: пользователь (например, user@xyz.domain.com), учетные данные которого ввожу на странице логина, успешно найден в каталоге, но при попытке аутентификации происходит ошибка
    Т.е. метод org.springframework.security.ldap.SpringSecurityLdapTemplate#searchForSingleEntryInternal возвращает значение, а при попытке выполнить org.springframework.security.ldap.authentication.BindAuthenticator#bindWithDn
    падаю с исключением javax.naming.AuthenticationException: [LDAP: error code 49 - 80090308: LdapErr: DSID-0C09044E, comment: AcceptSecurityContext error, data 52e, v2580, что само по себе вроде бы как не ошибка - свидетельствует о неверном пароле - но пароль точно верен (дополнительно проверяю с помощью Запустить от имени)

  2. jmix.ldap.use-active-directory-configuration = true
    Результат: пользователь, учетные данные которого ввожу на странице логина, не найден в AD, точнее падаю в исключение PartialResultException в org.springframework.security.ldap.SpringSecurityLdapTemplate#searchForSingleEntryInternal.
    Это вроде как тоже нормальная ситуация. В доках сказано, что можно игнорировать это исключение, установив свойство ignorePartialResultException, что я и пробую сделать
    spring.ldap.template.ignore-partial-result-exception=true
    Но ничего не меняется, т.е. по-прежнему падаю в PartialResultException.

Прошу помощи.

Есть ли возможность расширить настройки LDAP?
#3

Добрый день!

Я не большой эксперт по настройке AD, и двух доменов под рукой нет, к сожалению, чтобы кейс проверить. Вспомнил, что какое-то время назад нам заводили тикет на возможность задать свойство для referral как раз для работы в многодоменной среде. Может быть ваша проблема как-то связана с этим свойством.

#5

Добрый день.
Вам удалось победить исключение PartialResultException ?

Я тоже столкнулся с этим исключением.
Попробовал:

spring.ldap.template.ignore-partial-result-exception=true
jmix.ldap.template.ignore-partial-result-exception=true

Не помогло

#6

К сожалению, нет.